PDA - sicher unterwegs

Der PDA (Personal Digital Assistent) erhält in immer mehr Unternehmen einen immer wichtigeren Stellenwert. Auch so genannte Handheld-PCs (Mini-Laptops mit Tastatur) und Smartphones (Kombination aus Mobilfunkgerät und Handheld-Organizer) fassen wir hier unter dem Überbegriff PDA zusammen.

Ein Marktwachstum von 17 % pro Jahr bestätigt den Erfolg von Firmen im Betriebsystem- und Softwarebereich wie im Bereich Endgeräte und Hardware. Laut Gartner Dataquest teilen sich im Jahr 2002 Palm mit 55 %, Microsoft mit 26 % den Betriebssystem-Markt. 19% entfallen auf andere Plattformen wie Symbian, EPOC, Linux und Java. In Zukunft ist eine Zunahme des Symbian-Anteils zu erwarten, da dieses verstärkt auf Mobilfunktelefonen eingesetzt wird. EPOC erscheint ab Version 6 unter dem Namen Symbian, so dass sein Anteil zugunsten des Nachfolgers verschwinden wird. Im Hardwaresektor profitieren Compaq/HP, Handspring, Sony, Siemens und Nokia vom PDA-Boom. eTForecast geht sogar für die nächsten fünf Jahre von einem jährlichen Wachstum der weltweiten Absatzzahlen von konventionellen PDAs von über 23% aus. Für Smartphones bzw. Phone-PDAs werden explosionsartige Zuwächse von 80% für diese Zeit prognostiziert. Umfragen im Endkonsumentensegment belegen, dass dem PDA zur Zeit ein stärkeres Interesse beigemessen wird als dem PC, Laptop und Multimedia-Mobilfunkgerät.

Alle wichtigen Daten stets mit sich zu tragen, macht PDAs nicht nur immer populärer, sondern ermöglicht Geschäftsabläufe effektiver zu gestalten. Präsenz aller Informationen über gelaufene Aufträge bei einem Kunden, ermöglichen stabileres Auftreten in Verhandlungen. Zugriff auf Spezifikationen und aktuelle Preislisten sichern Seriosität im Verkaufsgespräch beim Kunden. Andererseits muss nun auch der PDA mit in die Strategie zur IT-Sicherheit einbezogen werden.

Die technische Weiterentwicklung der PDAs führt zudem zu größerer Aufmerksamkeit der Hacker. Für sie gewinnt die Welt der PDAs an:

1	_Wert im geschäftlichen Sinne,
2	_Anonymität,
3	_Einfachheit.

Nicht nur Adressen (von Kunden, Lieferanten und Wettbewerbern) werden auf dem Gerät gespeichert, sondern auf Grund der Zunahme an Leistungsfähigkeit und Speicherkapazität vermehrt ganze Office-Dokumente mit geschäftskritischem Inhalt (Produktdaten, Preislisten, Partner-Korrespondenz). Wird Kontakt zum Handy via Infrarot oder Bluetooth hergestellt, eine integrierte Smart-phonelösung verwendet oder der PDA mit dem Unternehmensnetzwerk per WLAN verbunden, ist der PDA online. Vertrauliche Firmendaten gelangen nun auch per E-Mail-Korrespondenz und Online-Bankgeschäfte auf die Handfläche.

Der weltweit mögliche Zugriff aus dem Internet durch völlig Fremde erhöht die Zahl und Anonymität der potentiellen Angreifer. Die Zusammenarbeit von Herstellern von PDA-Gerät, PDA-Software und Mobilfunkgeräten führt zu einer breiteren Standardisierung in der Welt der "mobile devices". Immer mehr Handys weisen z.B. einen Java-Interpreter auf. Web-Browser stehen mittlerweile nur noch in der Größe des Displays ihren großen Brüdern auf Desktops nach. Einmal geschaffene Hackertools sind damit häufiger verwendbar. Das Gelernte aus der PC-Welt kann leichter auf Handhelds übertragen werden. Bei vielen Unternehmen, denen dies bewusst ist, wird die Verwendung von PDAs im Unternehmensnetz aus Sicherheitsgründen komplett verboten. Mit entsprechendem Aufwand ist es jedoch möglich, den Zusatznutzen eines PDA mit angemessener Sicherheit dennoch auszuschöpfen.

Die Hauptbedrohung besteht im Verlust der Vertraulichkeit. Da ein BackUp durch jeden Synchronisationsvorgang mit dem Desktop erzwungen wird, gehen keine Daten verloren. Auch um die unbemerkte Veränderung der Daten muss sich der Nutzer nur bei Online-Aktivität Gedanken machen. Das Unternehmen sollte sich also vor den drei größten Gefahren schützen:

1	_dem Verlust oder Diebstahl eines PDAs bzw. der Einsicht durch Fremde
2	_Online-Angriffen, E-Spionage und
3	_Viren.

Zu einer umfassenden PDA-Sicherheitsstrategie gehören Ansätze auf der Organisations- und Produktebene. Organisatorisch sind dies:

A.	_Policy: Eine IT-Sicherheitsstrategie kann in einem Unternehmen nur mit einer Policy für Ihre Mitarbeiter umgesetzt werden. Diese sollte PDA-spezifisch erweitert werden, so dass das gesamte PDA-Konzept in die Unternehmenspolicy eingebettet ist.
B.	_Betriebskonzepte: Noch ist in der PDA-Welt jeder sein eigener Administrator. Ziel eines Unternehmens muss es sein, die Administration stärker zu zentralisieren und standardisieren. In Konformität mit der PDA-Policy gilt es, die Installation neuer Software und die Verwendung installierter zu kontrollieren.
C.	_Schulungen: Die Mitarbeiter müssen einerseits für das Sicherheitsrisiko PDA sensibilisiert werden. Andererseits können wir den technischen Umgang mit sicherheitsspezifischer PDA-Software den Nutzern wie den Administratoren näher bringen.